司馬紅太郎(しば こうたろう)
大手IT会社に所属するPM兼SE兼何でも屋。趣味で執筆も行う。
代表作は「空想プロジェクトマネジメント読本」(技術評論社、2005年)、「ニッポンエンジニア転職図鑑』(幻冬舎メディアコンサルティング、2009年)など。2019年発売した「IT業界の病理学」(技術評論社)は2019年11月にAmazonでカテゴリー別ランキング3部門1位、総合150位まで獲得した迷書。
もうひとつの「PPAP」
今回のテーマは、セキュリティの「PPAP」です。昨年2020年後半ぐらいから、セキュリティ業界を中心に「PPAP」に対する議論(*1)が巻き起こっています。「結論、『PPAP』って駄目」と一概に斬るのは簡単ですが、経緯などについても語りたいと思います。
セキュリティのほうの「PPAP」とは
「PPAP」といっても、何それ という方も多いと思います。一番有名な「PPAP」(*2)は、ピコ太郎の「PPAP」ですが、それとは違います。その楽曲タイトルをもじったネーミングのものです。そして、セキュリティの「PPAP」とは、「パスワード付きのzipファイルをメール送信し、後送でパスワードを送信する」というアクションをいいます。
- ・Password付きのzip暗号化ファイルを送信
- ・Passwordを送信
- ・Angou化(暗号化)
- ・Protocol(プロトコル)
上記の単語の頭文字を取って、「PPAP」と命名(*3)しています。そして、この「PPAP」メールの受信者が、そのメール(と添付ファイル)を受信し、同じプロトコルで別送されたパスワードで添付ファイルを解凍する、というアクションも含めて「PPAP」問題と定義することが多いです。
「ん? メールの添付ファイルを「暗号化」して、送付することが何でセキュリティ的に駄目なの?」
「『暗号化』しているから、セキュリティ面でプラスにはなっても、責められることないのでは?」
という意見もあると思います。
さらに、暗号化されたファイルとそのパスワードを別送することにより、宛先間違いを気づくことができる、というメリットもあるらしいです。宛先間違いのメール送信を日常的に行っている人にとっては、福音のような方法です。「さきほどのメールは、誤送信のため、破棄してください」(*4)のメールの件数が減るかもしれません。
さらに、「PPAP」について調べますと、実は
- 1.セキュリティ対策をしているように見えるが、あまり効果のない対策になっている
- 2.受信者としては、別送のパスワードで解凍する手間が面倒
- 3.同じ経路での暗号化対象物とパスワードの送付は、外部からの攻撃者にとっては同一
- 4.zip化+暗号化により、ウィルス対策ソフトのウィルス感染発見が遅延・困難
などの批判があります。
1.3.4.はセキュリティ面での課題、2.は利便性の問題です。
実際に、PPAPメールを受信している立場としても、解凍がかなり面倒だし、「暗号化する必要もない」もの(=非重要ファイル)の暗号化は、正直「頭使っていないよね」(*5)という感想しかありません。また、4.については、前回少し述べましたが、Emotetがメールの添付ファイルを契機にしているものだったため、悪目立ちしたこともあります。
そして、本体とパスワードの別送という形式による宛先違いの検知ですが、どうみても後付けの理由です。①添付ファイルを送った後、②そのままReして、パスワードを送る、というオペレーションが普通だからです。いちいち宛先を再入力はしないでしょう。誰が考えた理由なんでしょうかね。メールを送ったことがないのでしょうか? あ、①メール送付、②宛先不明エラー、③宛先変更して送付、というパターンや、間違えて送ってはいけないファイルを添付というケースもありますか。
PPAPを推進するか、廃止するか
この「PPAP」について、2020年11月26日に、平井デジタル改革担当大臣が、内閣府・内閣官房を対象に、廃止する方針を発表しました。逆に言うと、それまでは上記の部署では使っていた、もしくは推奨されていたということですね。
そして、いろいろな企業の方々とメールのやり取りをしていてなんとなく気づいたのですが、PPAPの利用企業は、大企業(特に金融業など)やお役所が多い気がします。いくつか理由があると思います。
・お役所対策や入札対応で、自社セキュリティ面での施策として、メールの暗号化を実施してますよ、とのアピール
↓
・しかし、社員数が多い、社外への処理送付などの件数が多いため、手作業での暗号化+パスワード送付が面倒
↓
・なので、メール送信時に自動的に暗号化+送付先へのパスワード(それも半角英数大文字小文字と記号を混在)を行うソフトを一斉導入(*6)
↓
・完璧!
↓
・いったん導入すると、なかなら変更がしづらいというお役所的・金融機関文化
という流れ。いちいち、手作業で添付ファイルの暗号化とパスワード送付なんてしてませんし、そのような処理を行うソフトは多々あります。さらに、大手企業などですと、ベンダーがしっかりと、その手のソフト導入+メールサーバ機器更改などをご提案することになるでしょう。一つ一つは小さな火ですが、二つ合わされば炎となります(*7)。支店やら子会社で一斉導入すれば無敵になります。 
図表10-1 暗号化添付ファイルの送信実績
JIPDECとプライバシーマーク
この「PPAP」が普及した経緯などについては、変な通説がありました。JIPDEC(*8)が認定している「Pマーク取得がしやすい」という話です。
この風評に対し、JIPDECは、「以前から推奨していない」という見解を示しており、否定しています。
この噂が本当かどうかは不明ですが、火のないところに煙は立たないとの話もあります。図表10-2のアンケートでも、しっかりとセキュリティのために実行しているというより、「Pマーク取得」「他がやっているから」「ISMSの取得」の総数もやや多いようです。
社員P「当社でもプライバシーマークを取りたいんですよね」
上司A「なんだ、そのプライバシーマークって」
社員P「よくわからないけど、いろんな会社が取得しているらしいです。名刺にマークがついていると、他社よりセキュリティが強いとアピールできます」
上司A「よし。取って損はないならば、取りに行こう。ライバル会社に差別化だ」
しばらくして
社員P「(ドヤ顔で)Pマーク取得の必殺技があります」
上司A「なに?」
社員P「メールのセキュリティを高めるために、暗号化して、パスワードは別に送らないといけないらしいです。この対策が必須です」
上司A「面倒じゃないのか」
社員P「ソフトを入れれば簡単です。それに、マーク取得企業はすべて対応しています!」
上司A「仕方ない。導入するしかないか」
社員P「近年増加している情報漏えいに対する施策として、全社にメールの暗号化ソフトを導入、という企画書を上げます。承認をお願いします」
いろんな会社や組織で交わされた会話です。思いっきり勘違いしている用語も混じっています。 
図表10-2 PPAP実装の理由
「PPAP」対策いろいろ
さて、「PPAP」ですが、前述の2020年11月の平井大臣の発言を契機に、いろいろな会社で禁止する動きがでています。例えば日立製作所では2021年からPPAPの全面禁止を検討(社内規定で禁止)、NTTデータグループでは電子ファイルの授受はメール添付ではなくファイル共有サービスなどの利用を推奨、日本IBMではそもそもPPAPの利用をしていない、という話です。このように、社内的・組織的に禁止する動きもありますが、止めることが難しいケースもあります。 
図表10-3 暗号化添付ファイルの検討可否
図表10-4 暗号化添付ファイル禁止できない理由
取引先(メール送付先)がPPAP推奨の場合とか、切り替えたいが、適切な代替案がない場合などです。図表10-5に代表的な対策・代替策をあげてみました。
| PGPやS/MINE(*9)で暗号化してメール送付 | 鍵管理・証明書管理が面倒。 |
| オンラインストレージサービスで共有 | 企業によっては、外部オンラインストレージ利用不可(*10)。 |
| ファイル転送サービスを利用 | 企業によっては、外部のファイル転送サービス利用不可。 |
| SLACKなどのツール | 企業によっては、ツール使用不可。同一リテラシー企業間のみ。 |
| zip+暗号化だが、別通信経路でパスワード | どの経路を使う? まさか電話やFAX? ただし受信者の解凍負荷は変わらない。 |
図表10-5 代表的な代替案
オンラインストレージなどを利用して、添付するファイルをダウンロードさせる、という形式のサービスが多いようです。
また、「パスワード付きzip添付メール問題を考える」でのアンケートでもWebダウンロードやクラウドストレージ形式が圧倒的に多いようです。
図表10-6 暗号化添付ファイルの代替案
ベンダーにとっては、そのような新しいサービスを提供することは、ビジネスにも繋がります。しかし、利用者にとっては、どのサイトにアクセスするか? そのサイト自体がセキュリティ面で問題がないのか? サイトがトラブったときにどうするのか? など、システム管理者が考えなくてはならない課題は多々ありそうです。
それより、なんでもかんでも添付ファイルを暗号化することが問題ではないでしょうか。そのような「頭を使っていない」オペレーションが課題であって、本当に流出してはまずいもののみ、暗号化すれはよい、と思います。でも、単なるユーザーや利用者はそんなこと考えないんですよね。そもそも何を基準に「暗号化」しなくてはいけないかが恣意的・本人任せとすることが多いです。
最後に
今回は、「PPAP」問題について語ってみました。コラムの大枠を書いた後、再度「パスワード付きzip添付メール問題を考える」のアンケートを確認したところ、このコラムで書いたほとんど論証について、アンケート結果が書かれており、「PPAP問題」への理解の深さ・問題意識の高さに感心しました。「PPAP」問題は、セキュリティ&メール&添付ファイル&暗号化&別送というかなり狭いカテゴリの問題なのですが、問題意識を持って考えると、ここまで深くセキュリティ問題・課題について考察できるという楽しい事例です。経営者などにとっては、「PPAP」問題は「たいした事ない」といわれるようなものかもしれません。しかし、この問題を完全に対応・対処するには、代替案の検討、添付ファイルの重要性の切り分け、それでも流出・ハッキングされた場合の対応案の検討、さらにコミュニケーション手段としてのメールとその他のツールの使い分けなどのルール決めや利用者への教育などが必須になってきます。時間がかかりますし、会社・組織で一斉に完全対応するのは、難しい課題です。少しずつ、一歩一歩、意識や文化を変えていくことが大事なのかもしれません。
では良き眠りを(合掌)。
「あったかいふとんで、ぐっすりねる!こんな楽しいことがあるか」by野比のび太
商標について
本コラムに記載されている商品やサービスの名称は、関係各社の商標または商標登録です。文中では、(TM)や(R)を省略しているものもあります。
引用・参照について
本コラムで引用・参照した図表や文章については、明示して引用元・参照元を記載しております。
著作権・免責について
本コラムの著作権は、著作者に帰属します。本コラムは著者の主観に基づく情報の提供のみを目的としており、本コラムに記載された内容を用いた運用などは、読者の責任と判断においておこなってください。また、記載内容は、執筆時のものを使用しております。
*1 2021年2月25日には、「パスワード付きZip添付メール問題を考える」と題したカンファレンスが開催されています。 (https://www.jpaawg.org/docs/event/2021ppap/)「PPAP」問題をテーマにしたカンファレンスであり、各種資料が参照可能です。このコラムでも、アンケート結果などを引用・参照させていただいております。アンケート母数がそこそこ多いので、とても嬉しい。感謝。
*2 PPAPについて、Wikipediaでは、PPAP(セキュリティ)とPPAP(ペンパイナッポーアッポーペン)、他にもPPAP (自動車工業)などが作成されています。(https://ja.wikipedia.org/wiki/PPAP)
*3 大泰司章氏(PPAP総研)が問題提起し、命名したといわれています。
*4 「破棄してください」というメールが来ても、見ちゃうこと多いですよね。その心理を利用して、クリックさせるspamメールやマルウェアもありますから、気を付けてください。
*5 「頭を使っていない」=「頭を使わずに機械的に作業可能」という+(プラス)の意味と、「もうちょっと頭を使ってくれ」という-(マイナス)の意味の両方です。
*6 パスワードの強度をチェックするソフトがあります。
パスワード強度チェッカー:
https://www.benricho.org/password_meter/
ちなみに、
- ・123456789 は スコア4% Very Weak
- ・password は スコア8% Very Weak
- ・SUGAsouri-2021 はスコア100% Very Strong
*7 「一つ一つは小さな火だが、二つ合わされば炎となる。炎となったガンバスターは無敵だ!」。1988年発売OVA「トップをねらえ!」のなかの名言。「トップをねらえ!」の主題歌「アクティブ・ハート」(歌は酒井法子)は名曲であり、「トップをねらえ!」の最終話「果てし無き、流れのはてに… 」の最後のシーンは泣けます。
*8 一般財団法人日本情報経済社会推進協会。英語名は、Japan Institute for Promotion of Digital Economy and Community。総務省および経済産業省共管の「財団法人日本情報処理開発協会」として設立され、公益法人制度改革に伴い、2011年4月1日に一般財団法人に移行するとともに名称も変更された。(Wikiなどから)プライバシーマークのやら個人情報保護関係の制度運営などをやってます。 2010年3月9日、「事業仕分け (行政刷新会議)第2弾」において、仕分け対象枠の公益法人に選定されたらしい。IPAとの違いや棲み分けが不明ですし、多数の人が降ってくる場所らしいので。
*9 PGP(Pretty Good Privacy)、S/MIME(Secure Multipurpose Internet Mail Extensions)。 セキュリティ関係の試験的には、PGP=「公開鍵暗号」、S/MINE=「公開鍵暗号」「RSA」「暗号化とデジタル署名」あたりがポイント。
*10 セキュリティに厳しい企業では、内部から外部への情報漏えいを防ぐために、外部のオンラインストレージ利用を制限している会社も多い。社外秘ファイルをオンラインストレージやSLACKなどに置き、流出した事例もあります。セキュリティの設定をしっかりすれば、ある程度は防げますが、利用者のリテラシーは低いことを想定して、ルールは決めますから。
連載一覧
筆者紹介
コメント
投稿にはログインしてください